Zafiyet Yönetim Politikası

1. Giriş

Bu belge, DeskCamera yazılımındaki güvenlik açıklarının nasıl izlendiğini, değerlendirildiğini ve giderildiğini tanımlar. DeskCamera, ekran verilerini yerel olarak NVR/VMS sistemlerine aktaran çevrimdışı, yerel bir uygulamadır. Video veya ses kaydı yapmaz ve kişisel veri toplamaz. Bulut altyapısına bağlantı yalnızca lisanslama veya güncelleme kontrolü amacıyla isteğe bağlı olarak kurulabilir. Bu tür bağlantılar sırasında hiçbir kişisel veri iletilmez.

2. Amaç

Bilinir zafiyetlere maruz kalmayı azaltarak, DeskCamera’nın güvenliğini ve güvenilirliğini değerlendirme, düzeltme ve güncellemeler yoluyla sağlamak.

3. Kapsam

Tüm DeskCamera yazılım sürümleri, dahili geliştirme sistemleri, kod depoları ve yazılıma entegre edilen tüm üçüncü taraf bileşenler için geçerlidir.

4. Yönetişim ve Roller

  • CTO – Politikadan sorumludur ve kritik zafiyetleri değerlendirir
  • Geliştirme Ekibi – İzleme, değerlendirme ve çözüm süreçlerinden sorumludur
  • Güvenlik Lideri – Zafiyet yanıtlarını ve gerekirse dış iletişimi koordine eder

5. Zafiyet Belirleme

  • Bağımlılıklar için CVE beslemeleri ve satıcı tavsiyeleri sürekli izlenir
  • Geliştirme sürecinde iç kod incelemeleri ve statik analiz araçları kullanılır
  • [email protected] adresine müşteri veya etik araştırmacı tarafından iletilen hata raporları

6. Sınıflandırma ve Risk Değerlendirmesi

  • Zafiyetler Emergency, Yüksek, Orta veya Düşük olarak CVSS ve iş etkisine göre sınıflandırılır
  • Risk puanı, kötüye kullanım olasılığı, işlevsellik üzerindeki etkisi ve açık yüzeyi dikkate alır

7. Düzeltme Süreci

  • Emergency ve Yüksek seviyeli zafiyetler 5 iş günü içinde ele alınır
  • Güvenlik yamaları, testlerin ardından uygun olan bir sonraki sürüme dahil edilir
  • Herhangi bir bilinen risk oluştuğunda bağımlılıklar proaktif olarak güncellenir

8. Güncelleme ve Yayın Süreci

  • Derlemeler, çevrimdışı USB ortamında saklanan güvenli bir sertifika ile imzalanır
  • Yeni yükleyiciler DeskCamera’nın resmi web sitesinde yayımlanır
  • Gerekirse müşterilere Security Advisories (Güvenlik Duyuruları) bölümü üzerinden bilgi verilir

9. Müşteri Sorumlulukları

  • Güncellemeleri manuel olarak indirip kurmak müşterinin sorumluluğundadır
  • DeskCamera, güncellemeleri uzaktan gönderemez veya müşteri ortamına erişemez; bu nedenle müşterilerin en iyi güvenlik uygulamalarını takip etmesi gerekir

10. Gözden Geçirme ve Test

  • Bu politika CTO tarafından yıllık olarak gözden geçirilir
  • Sürüm kontrolü GitHub üzerinden sağlanır
  • Güvenlik olayı veya tavsiyesi sonrasında zafiyet yönetim uygulamaları güncellenebilir

11. Denetim Kaydı ve Değişiklik Takibi

  • Tüm kod değişiklikleri ve erişim geçmişi, Azure DevOps Server kaynak kontrolü aracılığıyla otomatik olarak kaydedilir
  • Commit geçmişi, kullanıcı etkinlikleri ve izin değişiklikleri dahili SQL Server veritabanında saklanır
  • Tüm sürümler için Git commit geçmişi tutulur ve rol tabanlı erişim kontrolü izlenebilirliği sağlar
  • Denetim izleri, güvenli yazılım geliştirme için ISO 27001 ve SOC 2 önerileriyle uyumludur